هل فكرت يوما ما أو تعرضت لمصطلح #الهندسة_الإجتماعية (#Social_Engineering)؟
هذا ما سنتعرف عليه من خلال هذا الثريد ..
هذا ما سنتعرف عليه من خلال هذا الثريد ..
هي محاولة كسب ثقة الضحية المراد استغلالها لكي تقوم بأعمال لصالح المهاجم أو حتى الإفصاح عن معلومات سرية !!
كما تعرف #الهندسة_الإجتماعية بالتأثير على الأشخاص نفسياً والتلاعب بهم بالتضليل وذلك لغرض الحصول على معلومات شخصية أو مهنية خاصة كرقم الهوية، رقم الحساب البنكي،تاريخ الميلاد، اسم المستخدم وكلمة السر. يتم ذلك عبر عدّة طرق
سنذكر أهمها من مشاهد تحصل حولنا ونراها بشكل دوري
سنذكر أهمها من مشاهد تحصل حولنا ونراها بشكل دوري
من صور #الهندسه_الإجتماعيه في حياتنا اليومية :
١-التنصت على المكالمات والمحادثات أو حتى اختلاس النظر على شخص يقوم بإدخال رمز الدخول على بوابة او أجهزة الدفع في المحلات التجارية
١-التنصت على المكالمات والمحادثات أو حتى اختلاس النظر على شخص يقوم بإدخال رمز الدخول على بوابة او أجهزة الدفع في المحلات التجارية
٢-الإتصال الهاتفي المباشر بالضحية #CyberSecurity و التحدث معه بطريقة تهدف إلى إكتساب ثقته ثم خداعه والتحايل عليه، أو انتحال شخصية معينة ذات منصب وأهمية أو تعمل في منظمة /وظيفة معينة .. مثل ما قام به أحد المغردين(#ضابط_STC)
٣-احدى طرق #الهندسة_الاجتماعية الأكثر انتشاراً هي: عبر البريد الإلكتروني بهدف الحصول على بيانات وصلاحيات دخول غير مصرح بها أو لغرض اختراق أجهزة الكمبيوتر الشخصية أو المهنية المُستخدمة في جهات العمل
٤-الرسائل التصيدية (#Phishing) حيث تعد من أكثر أنواع #الهندسة_الاجتماعية إنتشاراً وأكثرها ضرراً وخصوصاً الرسائل الإحتيالية الموجهة ضد مجموعة معينة أو شخص مهم بذاته (#Spear_phishing)
كلمة التصيد مقتبسة من المعنى الحقيقي للصيد حيث يبدأ عادة بتجهيز الطعم ..
يكون الطعم عادةً إما على شكل رسالة أو رابط خبيث ويتم إرساله للضحية، والتي عادة تقع في الفخ ويتم اصطيادها وبالتالي الوصول للمعلومات المطلوبة من الضحية!
يكون الطعم عادةً إما على شكل رسالة أو رابط خبيث ويتم إرساله للضحية، والتي عادة تقع في الفخ ويتم اصطيادها وبالتالي الوصول للمعلومات المطلوبة من الضحية!
التصيد يتم عبر عدة وسائل، ليس فقط عبر البريد الإلكتروني و إنما أيضاً عبر روابط مزيفة لمواقع شبيهة بالمواقع الحقيقية، تشمل اسعاراً أقل وعروض مغرية تجعل الضحية تفصح عن كل المعلومات الخاصة والبنكية والتي تستخدمها الضحية
ومؤخراً انتشرت الرسائل القصيرة SMS لذات الغرض!
ومؤخراً انتشرت الرسائل القصيرة SMS لذات الغرض!
وهذا يأخذنا للتعرف على التصيد الإحتيالي الموجه (#Spear_phishing) ؟
هذا النوع من التصيد لا يختلف عن سابقه إلا في طريقة تركيزه على مجموعة معينة وعادة يكون بينهم قاسماً مشتركاً!
مثلاً جميعهم عاطلون عن العمل ولذا يكون من السهل اصطيادهم بإرسال بريد إلكتروني يحتوي على معلومات تفيد بتوفر وظيفة جيدة في شركة معروفة ولكن الروابط قد تكون خبيثة وليس لها صلة بالشركة التي تم انتحال صفتها ...
وبالتالي وقوع المجموعة في الفخ والحصول على معلوماتهم أو إختراق أجهزتهم الشخصية!
بالعودة الى ما تحدثنا عنه سابقاً (التصيد عبر الاتصال الهاتفي) !
سأشرح دور التصيد الصوتي بشكلٍ أوسع #Vishing
سأشرح دور التصيد الصوتي بشكلٍ أوسع #Vishing
هذا النوع من التصيد بدأ في الانتشار مؤخراً ولكنه يعتمد بشكل كبير على التواصل المباشر مع الضحية عن طريق المكالمات الهاتفية وعادة ما يتظاهر الشخص بأنه مقرب من صاحب الحساب ومصرح له بالحصول على المعلومات!
تتعدد طرق الإقناع التي يتم استخدامها أثناء اجراء المكالمة
مثل تشغيل صوت طفل يبكي لإرباك الموظف واخباره أن المتصل على عجلة من أمره و بالتالي اقناع الموظف بتوفير المعلومات بشكل سريع دون الانتباه لما يحصل
من خلال مثل هذه الطرق يحصل المهاجمون على معلومات حساسة تخص الضحية
مثل تشغيل صوت طفل يبكي لإرباك الموظف واخباره أن المتصل على عجلة من أمره و بالتالي اقناع الموظف بتوفير المعلومات بشكل سريع دون الانتباه لما يحصل
من خلال مثل هذه الطرق يحصل المهاجمون على معلومات حساسة تخص الضحية
تابعوا مثلا هذا الفيديو لتتضح الفكرة أكثر
youtu.be
youtu.be
أود التنويه بأنه تم تفعيل خاصية التأكد من المتصل ليس فقط عن طريق رموز الأمان المعتادة وإنما يضاف إليها ارسال رسائل قصيرة لصاحب الحساب تحتوي على رمز مؤقت وهو ما يندرج تحت التحقق المتعدد أو Multi-factor authentication #MFA
وللأسف هناك حالات قام المهاجمون فيها بإقناع الضحايا بمشاركتهم رموز الأمان المرسلة على هواتفهم!
كيف تحمي ذاتك من مخاطر الهندسة الإجتماعية :
1- عدم مُشاركة أي معلومات أو أي بيانات شخصية مع أي جهة كانت، حتى لو كانت هذه المعلومة في نظرك غيرمهمة، فقد تؤدي إلى أضرار كبيرة
1- عدم مُشاركة أي معلومات أو أي بيانات شخصية مع أي جهة كانت، حتى لو كانت هذه المعلومة في نظرك غيرمهمة، فقد تؤدي إلى أضرار كبيرة
2- التحقق دائماً من الأشخاص الذين تتحدث إليهم
سواءً عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري كالواتس آب و غيره
فمثلاً لو كان المُتصل من شركة رسمية فلا تجد حرجاً أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يُمكن التحقق منه
سواءً عبر الهاتف أو عبر البريد الإلكتروني أو خدمات التواصل الفوري كالواتس آب و غيره
فمثلاً لو كان المُتصل من شركة رسمية فلا تجد حرجاً أن تطلب منه معلوماته الكاملة وأن يقوم بالاتصال من رقم هاتف رسمي يُمكن التحقق منه
3- عدم فتح مُرفقات البريد الإلكتروني من أشخاص غير معروفين
4-العمل على تأمين الهاتف الذكي أو الحاسب المحمول
كالإعتماد على برامج حماية الڤيروسات القوية وتحديثها بإستمرار
فلترة وعدم فتح البريد المُزعج
كن حذراً عندما يتواصل معك شخص غير معروف أو غريب الأسلوب يخبرك بإنك ربحت جائزة
4-العمل على تأمين الهاتف الذكي أو الحاسب المحمول
كالإعتماد على برامج حماية الڤيروسات القوية وتحديثها بإستمرار
فلترة وعدم فتح البريد المُزعج
كن حذراً عندما يتواصل معك شخص غير معروف أو غريب الأسلوب يخبرك بإنك ربحت جائزة
جاري تحميل الاقتراحات...